|
 |
1999/12/15 日本システムハウス株式会社 セキュリティ技術部 |
|
| trin00 および Tribe Flood Network による使用不能攻撃 | |
|
|
|
|
以下リリースが、アイ・エス・エス株式会社より発行されましたので、ご案内致します。 ISS セキュリティ・アラート trin00 および Tribe Flood Network による使用不能攻撃 アイ・エス・エス株式会社(本社:東京都渋谷区、社長:林界宏)は1999年12月15日、使用不能攻撃ツールTrin 00 および Tribe Flood Networkを最も危険なツールの1つとして警告を発表しました。 ●事 象 強力な新型の使用不能攻撃 (DoS) が出現しています。これは従来インターネット上で出回っているどの使用不能攻撃よりも強力です。この使用不能攻撃は膨大なトラフィックをフラッドさせネットワークをダウンさせます。この使用不能攻撃は1つの攻撃目標に対し、そのために侵害した多数のシステム使いそこからフラッド攻撃を一斉にターゲットに仕掛けるものです。これは広範囲の組織に多大な影響をもたらすもので、ISS X-Forceはこの攻撃をハイリスクに分類しました。この攻撃は機能することが確認され、防御は困難です。 ●概 要 過去2ケ月にわたり、このタイプの使用不能攻撃により幾つかの商用・学術用大規模ネットワークが攻撃を受けています。現在この攻撃に2つの攻撃ツールが使われています。: trin00 とトライブ・フラッド・ネットワーク( Tribe Flood Network (TFN))です。 攻撃者はこれらのツールを数百の侵害したマシン上にインストールし、そこからターゲットに対して一斉攻撃を開始します。この攻撃は多数のマシンから1台のマシンに同時に攻撃できるため、他の使用不能攻撃よりも危険です。 ●推奨事項 ISS X-Force は ISS SAFEsuite ソリューションで対抗できる幾つかの方法を開発中です。この使用不能攻撃を発見するにはISS のInternet Scanner の最新バージョン6.0.1 を使用することができ、これは今後追加のアップデイトも予定しています。また、ホストベースのセキュリティ評価システムSystem Scanner、および侵入発見システムRealSecureの次期バージョンでも対応する予定です。 ●技術的な情報 trin00: trin00 ツールは3つの要素(クライアント、マスター、ブロードキャスト)からなります。 クライアント: 攻撃者はクライアント(telnet または Netcat プログラム)を使用し、複数の侵害した "マスター"(下記)のポート 27665 に接続します。 攻撃者はマスターに接続して "ブロードキャスト" をコントロールし、ターゲットをフラッドさせます。 マスター: マスターは trin00 パケッジ内の master.c ファイルにあります。 マスターは"ブロードキャスト" からの登録 UDPパケットをポート 31335 で待ちます。またマスターはクライアントからのコマンドをTCP ポート 27665への接続で待ちます。 クライアントがマスタのポート 27665 に接続し、マスターはデフォルトのパスワード"betaalmostdone" を受取ります。マスターは動いているとプロンプト "??" を表示し、攻撃者はマスターからパスワード"gOrave"を受け取ります。 ブロードキャスト (または Bcast): ブロードキャストは実際のフラッドを起こさせる trin00 内のコードです。 これは trin00 パケッジ内の ns.c です。ブロードキャストがコンパイルされると、マスターのIP アドレスはプログラムに強くコード化されます。ブロードキャストがスタートすると、"*HELLO*"を含むデータのUDP パケットがマスター IPのポート31335 に送られます。このパケットはブロードキャストをマスターに登録します。 次に攻撃者はマスターに接続し、UDP フラッドを送信するためブロードキャスト・デーモンを使います。攻撃者クライアントがマスターに使用する6つのコマンドがあります。マスターは、攻撃用UDP パケットをブロードキャストのポート 27444 に送ります。マスターとブロードキャスト・デーモン間のデフォルトのパスワードは"l44adsl"です。 クライアント(攻撃者)がTrino00マスターに使用する6つのコマンド: --mtimer: DoS ターゲットにタイマーをセット --dos: マシンに使用不能攻撃を実行 --mdie: 全ブロードキャストをキル --mping: 全ブロードキャストをPing --mdos: このコマンドはリストされたマシンに使用不能攻撃を実行 します。マスタは各ブロードキャストに"xyz"コマンドを 送ります。このパケットは"xyz l44adsl 123:10.1.1.1: 10.1.1.2:10.1.1.3:" のようになります。 --msize: このコマンドは使用不能攻撃で使用するUDP パケットの サイズをセットします。 ブロードキャストが使用する使用不能攻撃はUDP フラッドです。 Trin00は4 データ・バイト (全てゼロ) を持つ多数のUDP パケットをターゲット・ホストのランダムなポートに送ります。処理できないターゲット・ホストはICMP Port Unreachable メッセージを返します。ターゲット・ホストはUDP パケットの処理で忙しくスローダウンします。そしてこの時点でネットワーク上のバンド幅は消費されつくします。 この攻撃を検出する幾つかの方法があります。最初の方法は、多数の同じソース・ポートで異なるデスティネーション・ポートのUDP パケットを探すことです。同じソース IP、デスティネーション IP、ソース・ポートで異なるデスティネーション・ポートを持つ約10 のUDP パケットを探したら、このフラッド攻撃です。この方法でUDP ポート・スキャンを探すこともできます。 他の方法は、多数の同じソースとデスティネーション IPのICMP Port Unreachable メッセージを探すことです。この方法はUDP ポート・スキャンも検出できます。 trin00 フラッドと UDP ポート・スキャンの相違を区分する信頼できる方法はありません。なぜなら誰かがICMP メッセージをモニターしているかどうか決めるのが不可能だからです。 ●trin00/TFN との関連攻撃 幾つかの通常攻撃がtrin00/TFN と関連するのがわかっています。 次の攻撃で侵害されたマシンはtrin00/TFN デーモンがないかチェックすべきです。 --rpc.ttdbserver --amd --rpc.cmsd --rpc.mountd --rpc.statd 現在のところ上記の trin00/TFN デーモンと関連するバルネラビリティが存在しますが、攻撃者が他の方法を使わないと言う保証はありません。 ●追加情報 (1)ISS X-Force のセキュリティ・アラート: "http://xforce.iss.net/alerts/advise40.php3"; (2)ISS X-Forceは当アドバイサリの研究をCERT と協力して行いました。 CERT のURL は: "http://www.cert.org/incident_notes/IN-99-07.html"; です。 |
|
| □ | Internet Security Systemsのロゴおよび、Internet
Security Systemsの各商品は Internet Security Systems, Inc.の商標または登録商標です。 |
| □ | 他企業のロゴと製品名はそれぞれの企業の商標または登録商法です。 |